Kirjainyhdistelmä GDPR eli tarkemmin EU:n tietosuoja-asetus ja siihen liittyvät toimenpiteet ovat kevään teema monissa yrityksissä. Tietosuoja-asetus tuntuu aiheuttavan paniikkia, vaikka syytä paniikkiin ei ole.

Yksilön henkilötietojen käsittelyn asianmukaisuutta ja tietoturvallisuutta vahvistavaan asetukseen valmistautuminen toki teettää ja on teettänyt useimmilla yrityksillä töitä, mutta asetuksen soveltamisen voimaan tulo myös parantaa ja tarkoituksenmukaistaa yritysten tietoturvakäytänteitä.

Olemme Magic Cloudilla valmistautuneet asetuksen tuloon ja tehneet sen velvoittamaa dokumentointia viime syksystä saakka. Tässä kirjoituksessa koottuna teemoitellusti tietosuoja-asetukseen valmistautumiseen liittyviä toimenpiteitä, jotka itse olen katsonut hyviksi ja konkreettisiksi toimiksi asetukseen valmistautuessa. Lista ei varmasti ole absoluuttinen, mutta sitä voi käyttää pohjana ja check-listana toukokuun 25. päivään valmistautuessa.

Tietosuoja-asetukseen valmistautuminen

1 Kartoitus ja dokumentaatio

• Kartoita yrityksesi hallussa olevat rekisterit ja henkilötietolistat (esim. asiakasrekisteri, markkinointirekisteri, yhteydenottorekisteri,
  verkkokaupan rekisteri).
• Kartoita ja kuvaa esim. yrityksesi sisäiseen GDPR-dokumenttiin, mitä henkilötietoja kyseisissä rekistereissä on.
• Selvitä, missä rekisterit sijaitsevat (esim. tiedostojen ja postitusohjelmien palvelimien sijaintimaa).
• Selvitä henkilötietojen käsittelyn tarkoitus.

Selvitettyäsi ylläolevat, tee jokaisesta rekisteristä rekisteriseloste. Rekisteriselosteet kannattaa rakentaa tietosuojavaltuutetun lomakkeiden mukaisesti.

2 Henkilötietojen käsittelyperiaatteet

• Selvitä, miten yrityksessäsi käsitellään henkilötietoja.
• Varmista, että käsittely on/tulee olemaan lainmukaista:
  Käsittely on asianmukaista ja läpinäkyvää, henkilötiedot on kerätty nimenomaista tarkoitusta varten, eikä niitä käytetä muuhun, rekisterit sisältävät vain tarpeelliset henkilötiedot ja tiedot ovat ajantasalla.
• Varmista, että henkilötietojen käsittelyllä ja rekisterien käytöllä on lakiin sidottu käsittelytarkoitus (artikla 6, 1a-f)

3 Tarvittavat tekniset toimenpiteet

Tarvittavat tekniset toimenpiteet tulee toteuttaa käsittelyn kohteena olevien henkilötietojen tietoturvan toteuttamiseksi.

Selvitä vähintään seuraavat teknisen tietoturvan osa-alueet ja tarvittaessa saata ne ajan tasalle:

• Ajantasaiset tietoturvapäivitykset
• Virusturvan ja palomuurin tila ja ajantasaisuus
• Tietoliikenteen salaus
• Tiedostojen ja tietojen varmistukset
• Tietoturvallinen toiminta (esim. salasanakäytäntö)

4 Viestinnälliset toimenpiteet

Varmista, että

• Ilmoitat henkilötietoja käsitellessäsi käsittelyn perusteet ja lähtökohdat esimerkiksi linkittämällä rekisteriselosteet nettisivuille, yhteydenottolomakkeisiin ja uutiskirjeisiin
• Yhteystietolomakkeessa ei ole valmiiksi valittua ”liity postituslistalle” valintaa
• Uutiskirjeissä ym. on mahdollisuus poistua listalta
• Sensitiivistä tietoa lähetetään vain salattuja yhteyksiä pitkin
• Salasanat säilytetään turvallisesti ja ne vastaavat vaatimuksia

5 Organisatoriset toimenpiteet

• Laadi yhteistoiminnallisesti yrityksen tietoturvallisen toiminnan ja
  henkilötietojen käsittelyn ohjeistus
• Tee tarvittaessa henkilöstön kanssa erilliset salassapitosopimukset
• Laadi ohjeistus ja toimintasuunnitelma tietovuodon varalle
• Perehdytä henkilöstö ja osoita vastuut

Webinaari-tallenne

Kävimme GDPR:n velvoitteet ja sen edellyttämät toimenpiteet käytännönläheisesti läpi webinaarissamme 10.4.2018. Voit halutessasi ladata webinaarin materiaalin tietoturvallisesta Magic ShareFile -palvelustamme ja katsoa tallenteen webinaaristamme: